Data Domain – Úvod do systému NFSv4

Na to, jestli zvolíte NFSv4 nebo NFSv3, může mít vliv několik faktorů:
● Podpora
klientů NFSNěkteří klienti NFS mohou podporovat pouze NFSv3 nebo NFSv4 nebo mohou lépe fungovat s jednou verzí.
● Provozní požadavky
: Podnik může být přísně standardizován tak, aby používal NFSv4 nebo NFSv3.
● Zabezpečení
Pokud požadujete vyšší zabezpečení, NFSv4 poskytuje vyšší úroveň zabezpečení než NFSv3, včetně ACL a rozšířené konfigurace vlastníka a
skupiny.
● Požadavky na
funkce Pokud potřebujete uzamykání rozsahu bajtů nebo soubory UTF-8, měli byste zvolit NFSv4.
● Dílčí připojení NFSv3 Pokud
vaše stávající konfigurace používá subpřipojení NFSv3, může být NFSv3 vhodnou volbou.

NFSv4 ve srovnání s NFSv3
NFSv4 poskytuje vylepšené funkce ve srovnání s NFSv3.
Následující tabulka porovnává funkce systému NFSv3 s funkcemi systému NFSv4.

Tabulka NFSv4 ve srovnání s NFSv3

Porty
NFSv4NFSv4 a NFSv3 můžete povolit nebo zakázat nezávisle. Kromě toho můžete přesouvat verze NFS na různé porty – oba
verze nemusí zabírat stejný port.
U systému NFSv4 není nutné při změně portů restartovat systém souborů. V takových případech je vyžadováno pouze restartování systému souborů NFS.
Podobně jako NFSv3 běží NFSv4 na portu 2049 jako výchozím, pokud je povolený.
NFSv4 nepoužívá mapovač portů (port 111) ani připojený (port 2052).

Přehled
mapování IDSystém NFSv4 identifikuje vlastníky a skupiny pomocí běžného externího formátu, například joe@example.com. Tyto běžné formáty jsou
označované jako identifikátory nebo ID.
Identifikátory jsou uloženy na serveru NFS a používají interní reprezentace, jako je ID 12345 nebo ID S-123-33-667-2. Tá
převod mezi interními a externími identifikátory se označuje jako mapování ID.
Identifikátory jsou přidruženy k následujícím položkám:
● Vlastníci souborů a adresářů
● Skupiny vlastníků souborů a adresářů
● Položky v seznamech řízení přístupu (ACL)
Systémy ochrany používají společný interní formát pro protokoly NFS a CIFS/SMB, který umožňuje sdílení souborů a adresářů
mezi NFS a CIFS/SMB. Každý protokol převádí interní formát na svůj vlastní externí formát s vlastním ID
Mapování.
 

Externí formáty
Externí formát pro identifikátory NFSv4 se řídí standardy NFSv4 (například RFC-7530 pro NFSv4.0). Kromě toho
jsou podporovány doplňkové formáty pro interoperabilitu.

Standardní formáty identifikátorů

Standard external identifiers for NFSv4 have the format identifier@domain. This identifier is used for NFSv4 owners,
owner-groups, and access control entries (ACEs). The domain must match the configured NFSv4 domain that was set using the
nfs option command.
The following CLI example sets the NFSv4 domain to mycorp.com for the NFS server:
nfs option set nfs4-domain mycorp.com
See client-specific documentation you have for setting the client NFS domain. Depending on the operating system, you might
need to update a configuration file (for example, /etc/idmapd.conf) or use a client administrative tool.
NOTE: If you do not set the default value, it will follow the DNS name for the protection system.
NOTE: The file system must be restarted after changing the DNS domain for the nfs4-domain to automatically update.
ACE extended identifiers
For ACL ACE entries, protection system NFS servers also support the following standard NFSv4 ACE extended identifiers
defined by the NFSv4 RFC:
● OWNER@, The current owner of the file or directory
● GROUP@, the current owner group of the file or directory.
● The special identifiers INTERACTIVE@, NETWORK@, DIALUP@, BATCH@, ANONYMOUS@, AUTHENTICATED@,
SERVICE@.

Alternativní formáty
Aby byla umožněna interoperabilita, podporují servery NFSv4 v systémech ochrany některé alternativní formáty identifikátorů pro vstup a výstup.
● Číselné identifikátory, například "12345".
● Identifikátory zabezpečení (SID) kompatibilní se systémem Windows vyjádřené jako "S-NNN-NNN-..."
Další informace o omezeních těchto formátů naleznete v částech věnovaných mapování vstupu a mapování výstupu.

Formáty
interních identifikátorůSystém souborů DD ukládá identifikátory každého objektu (souboru nebo adresáře) v systému souborů. Všechny objekty mají číselného uživatele
ID (UID) a ID skupiny (GID). Ty spolu se sadou bitů režimu umožňují tradiční identifikaci a přístup
k systému UNIX/LinuxOvládací prvky.
Objekty vytvořené protokolem CIFS/SMB nebo protokolem NFSv4, pokud jsou povoleny seznamy ACL systému NFSv4, mají také rozšířenou
bezpečnostní deskriptor (SD). Každá karta SD obsahuje následující položky:
● Identifikátor zabezpečení vlastníka (SID)
● SID
skupiny vlastníků● Volitelný seznam ACL (DACL)
● (volitelné) Systémový seznam ACL (SACL)
Každý identifikátor SID obsahuje relativní ID (RID) a odlišnou doménu podobným způsobem jako identifikátory SID systému Windows. Viz část o systému NFSv4 a
Interoperabilita CIFS pro více informací o identifikátorech SID a mapování identifikátorů SID.
Když dojde k
mapování IDServer systému ochrany NFSv4 provádí mapování za následujících okolností:
● Mapování
vstupu: Server NFS obdrží identifikátor od klienta NFSv4. 
● Mapování výstupu:
Identifikátor je odeslán ze serveru NFS do klienta NFSv4. 
● Mapování
přihlašovacích údajůPřihlašovací údaje klienta RPC jsou mapovány na interní identitu pro řízení přístupu a další operace.

Mapování
vstupůK mapování vstupu dochází, když klient NFSv4 odešle identifikátor na server systému ochrany NFSv4 – například nastavení vlastníka
nebo skupiny vlastníků souboru. Mapování vstupu se liší od mapování přihlašovacích údajů.
Standardní identifikátory formátu, jako je joe@mycorp.com, jsou převedeny na interní UID/GID na základě nakonfigurovaného
Pravidla převodu. Pokud jsou povoleny seznamy ACL systému NFSv4, vygeneruje se také identifikátor SID na základě nakonfigurovaných pravidel převodu.
Číselné identifikátory (například "12345") jsou přímo převedeny na odpovídající identifikátory UID/GID, pokud klient nepoužívá protokol Kerberos
Ověřování. Při použití protokolu Kerberos se vygeneruje chyba podle doporučení standardu NFSv4. Pokud jsou
seznamy ACL systému NFSv4povoleno, bude identifikátor SID vygenerován na základě pravidel pro převod.
Identifikátory SID systému Windows (například "S-NNN-NNN-...") jsou ověřeny a přímo převedeny na odpovídající identifikátory SID. Identifikátor UID/GID se
vygeneruje na základě pravidel převodu.

Mapování výstupů

Output mapping occurs when the NFSv4 server sends an identifier to the NFSv4 client; for example, if the server returns the
owner or owner-group of a file.
1. If configured, the output might be the numeric ID.
This can be useful for NFSv4 clients that are not configured for ID mapping (for example, some Linux clients).
2. Mapping is attempted using the configured mapping services, (for example, NIS or Active Directory).
3. The output is a numeric ID or SID string if mapping fails and the configuration is allowed.
4. Otherwise, nobody is returned.
The nfs option nfs4-idmap-out-numeric configures the mapping on output:
● If nfs option nfs4-idmap-out-numeric is set to map-first, mapping will be attempted. On error, a numeric string
is output if allowed. This is the default.
● If nfs option nfs4-idmap-out-numeric is set to always, output will always be a numeric string if allowed.
● If nfs option nfs4-idmap-out-numeric is set to never, mapping will be attempted. On error, nobody@nfs4-
domain is the output.
If the RPC connection uses GSS/Kerberos, a numeric string is never allowed and nobody@nfs4-domain is the output.
The following example configures the protection system NFS server to always attempt to output a numeric string on output. For
Kerberos the name nobody is returned:
nfs option set nfs4-idmap-out-numeric always

Mapování
přihlašovacích údajůServer NFSv4 poskytuje přihlašovací údaje pro klienta NFSv4.
Tyto přihlašovací údaje plní následující funkce:
● Určete zásady přístupu pro operaci, například schopnost číst soubor.
● Určete výchozího vlastníka a skupinu vlastníků pro nové soubory a adresáře.
Přihlašovací údaje odeslané z klienta mohou být john_doe@mycorp.com nebo systémové přihlašovací údaje, například UID=1000, GID=2000.
Systémové přihlašovací údaje určují UID/GID spolu s ID pomocných skupin.
Pokud jsou seznamy ACL systému NFSv4 zakázané, použijí se pro přihlašovací údaje identifikátory UID/GID a pomocné skupiny.

Jsou-li povoleny seznamy ACL systému NFSv4, budou nakonfigurované mapovací služby použity k vytvoření rozšířeného popisovače zabezpečení pro
Pověření:
● Identifikátory SID pro vlastníka, skupinu vlastníků a pomocnou skupinu namapované a přidané do popisovače zabezpečení (SD).
● Do SD se přidají pověření (pokud existují).
Interoperabilita
systému NFSv4 a CIFS / SMBPopisovače zabezpečení používané systémem NFSv4 a CIFS jsou z hlediska mapování ID podobné, i když existují rozdíly.
Pro zajištění optimální interoperability byste měli mít následující informace:
● Služba Active Directory by měla být nakonfigurována pro CIFS i NFSv4 a mapovač ID systému souborů NFS by měl být nakonfigurován tak, abypro mapování identifikátorů používal službu Active
Directory.
● Pokud ve velké míře používáte seznamy ACL CIFS, můžete obvykle zlepšit kompatibilitu také povolením seznamů ACL systému NFSv4.
○ Povolení seznamů ACL systému NFSv4 umožňuje namapovat přihlašovací údaje systému NFSv4 na příslušné SID při vyhodnocování přístupu DACL.
● Server CIFS obdrží přihlašovací údaje od klienta CIFS, včetně výchozího seznamu ACL a uživatelských oprávnění.
○ Naproti tomu server NFSv4 obdrží omezenější sadu přihlašovacích údajů a vytvoří přihlašovací údaje za běhu pomocí
mapovače ID. Z tohoto důvodu se systému souborů mohou zobrazovat jiné přihlašovací údaje.

Integrace služby CIFS / SMB Active Directory

The protection system NFSv4 server can be configured to use the Windows Active Directory configuration that is set with the
protection system CIFS server.
The system is mapped to use Active Directory if possible. This functionality is disabled by default, but you can enable it using the
following command:
nfs option set nfs4-idmap-active-directory enabled

Výchozí seznam DACL pro systém NFSv4
Systém NFSv4 nastaví jiný výchozí seznam DACL (volitelný seznam řízení přístupu) než výchozí seznam DACL poskytovaný systémem CIFS.
Ve výchozím seznamu NFSv4 DACL jsou definovány pouze OWNER@, GROUP@ a EVERYONE@. Dědičnost ACL můžete použít k následujícím akcím
ve výchozím nastavení automaticky přidávat významné položky řízení spotřeby CIFS, pokud je to vhodné.
Výchozí identifikátoru
SID systémuSoubory a adresáře vytvořené systémem NFSv3 a NFSv4 bez seznamů ACL používají výchozí systémovou doménu, někdy označovanou jako
výchozí doména UNIX:
● Uživatelská SID v systémové doméně mají formát S-1-22-1-N, kde N je UID.
● Identifikátory SID skupiny v systémové doméně mají formát S-1-22-2-N, kde N je GID.
Například uživatel s UID 1234 bude mít identifikátor SID vlastníka S-1-22-1-1234.
Společné identifikátory v seznamech přístupů NFSv4 a identifikátory
SIDIdentifikátor EVERYONE@ a další speciální identifikátory (například BATCH@) v seznamech přístupů NFSv4 používají ekvivalentní
CIFS SIDS a jsou kompatibilní.
Identifikátory OWNER@ a GROUP@ nemají v CIFS přímou korespondenci; zobrazují se jako aktuální vlastník a aktuální
owner-group souboru nebo adresáře.
 

Reference
NFSFunkce odkazu umožňuje klientovi NFSv4 přístup k exportu (nebo systému souborů) v jednom nebo více umístěních. Umístění mohou být na
na stejném serveru NFS nebo na různých serverech NFS a použijte buď stejnou, nebo jinou cestu k dosažení exportu.
Vzhledem k tomu, že odkazy jsou funkcí NFSv4, vztahují se pouze na připojení NFSv4.
Odkazy lze provést na libovolný server, který používá NFSv4 nebo novější, včetně následujících:
● Ochranný systém se spuštěným NFS s povoleným NFSv4
● Další servery, které podporují NFSv4, včetně serverů Linux, zařízení NAS a systémů VNX.
Odkaz může používat bod exportu NFS s aktuální základní cestou v systému souborů DD nebo bez ní.
Exporty NFS s odkazy je možné připojit prostřednictvím systému NFSv3, ale klienti NFSv3 nebudou přesměrováni, protože odkazy jsou NFSv4
Funkce. Tato vlastnost je užitečná v systémech škálování na více systémů, aby bylo možné přesměrovat exporty na úrovni správy souborů.

Referenční umístění
Reference NFSv4 mají vždy jedno nebo více umístění.
Jedná se o následující umístění:
● Cesta na vzdáleném serveru NFS k odkazovanému systému souborů.
● Jedna nebo více síťových adres serveru, které umožňují klientovi připojit se ke vzdálenému serveru NFS.
Pokud je ke stejnému umístění přidruženo více adres serverů, obvykle se tyto adresy nacházejí na stejném systému souborů NFS
Server.
Názvy
referenčních umístěníV exportu NFS můžete pojmenovat každé umístění odkazu. Název můžete použít pro přístup k referenčnímu seznamu a také k úpravě nebo
Smažte to.
Referenční jméno může obsahovat maximálně 80 znaků z následujících znakových sad:
● a-z
● A-Z
● 0-9
● "."
● ","
● "_"
● "-"
POZNÁMKA: Mezery můžete zahrnout, pokud jsou vloženy do názvu. Používáte-li vložené mezery,
musí být celý název v dvojitých uvozovkách.
Názvy, které začínají písmenem ".", jsou vyhrazeny pro automatické vytvoření systémem ochrany. Tyto názvy můžete odstranit, ale
Nelze je vytvářet ani upravovat pomocí rozhraní příkazového řádku (CLI) nebo služeb správy systému (SMS).
 

Reference a škálovací systémy
Reference a umístění NFSv4 mohou lépe umožnit přístup, pokud škálujete systémy ochrany.
Vzhledem k tomu, že váš systém může nebo nemusí již obsahovat globální obor názvů, následující dva scénáře popisují, jak
může používat referenční seznamy systému NFSv4:
● Váš systém neobsahuje globální jmenný prostor.
○ K vytvoření tohoto globálního oboru názvů můžete použít odkazy NFSv4. Správci systému mohou vytvářet tyto globální obory názvů, nebo
podle potřeby můžete použít odkazy na vytváření prvků Smart System Manager (SM).
● Váš systém již má globální jmenný prostor.
○ Pokud má váš systém globální obor názvů s fondy MTree umístěnými v konkrétních uzlech, lze vytvořit odkazy NFS, které přesměrují
přístup k těmto fondům MTree na uzly přidané do systému se škálovaným systémem. Tyto referenční seznamy můžete vytvořit nebo je
mítprovádí se automaticky v rámci NFS, pokud jsou k dispozici potřebné informace o SM nebo správci souborů (FM).

NFSv4 a vysoká dostupnost
U systému NFSv4 se exporty protokolů (například /data/col1/<mtree>) zrcadlí v nastavení vysoké dostupnosti (HA). Nicméně
Exporty konfigurace, například /ddvar, se nezrcadlí.
Systém souborů /ddvar je jedinečný pro každý uzel páru HA. Výsledkem je, že /ddvar exportuje a jejich přidružený klientský přístup
seznamy nejsou zrcadleny do pohotovostního uzlu v prostředí vysoké dostupnosti.
Informace v adresáři /ddvar zastarají, když aktivní uzel převezme služby při selhání do pohotovostního uzlu. Všechna udělená
klientská oprávněnína /ddvar na původním aktivním uzlu musí být znovu vytvořen na nově aktivním uzlu poté, co dojde k převzetí služeb při selhání.
Je také nutné přidat všechny další exporty /ddvar a jejich klienty (například /ddvar/core), které byly vytvořeny na
Původní aktivní uzel na nově aktivní uzel poté, co dojde k převzetí služeb při selhání.
Nakonec je nutné všechny požadované exporty /ddvar odpojit od klienta a poté znovu připojit poté, co dojde k převzetí služeb při selhání.

Globální obory
názvů systému NFSv4Server NFSv4 poskytuje strom virtuálních adresářů označovaný jako PseudoFS pro připojení exportů NFS do prohledávatelné sady cest.
Použití PseudoFS odlišuje NFSv4 od NFSv3, který používá pomocný protokol MOUNTD.
Ve většině konfigurací je změna z NFSv3 MOUNTD na globální obor názvů NFSv4 transparentní a zpracovává se automaticky
klientem a serverem NFSv4.
 

Globální obory názvů systému NFSv4 a subsystémy
NFSv3Používáte-li dílčí připojení exportu systému souborů NFSv3, globální obory názvů charakteristické pro systém souborů NFSv4 mohou zabránit zobrazení
dílčích připojenípři připojení systému souborů NFSv4.
Hlavní exporty NFSv3 a exporty
submountPokud má systém NFSv3 hlavní export a částečně připojený export, mohou tyto exporty používat stejné klienty NFSv3, ale mají různé úrovně
Přístup:

Tabulka hlavních exportů NFSv3 a dílčích exportů 

V předchozí tabulce platí pro NFSv3 následující:
● Pokud client1.example.com připojí /data/col1/mt1, klient získá přístup pouze pro čtení.
● Pokud client1.example.com připojí /data/col1/mt1/subdir, klient získá přístup pro čtení a zápis.
NFSv4 funguje stejným způsobem s ohledem na cesty exportu nejvyšší úrovně. V případě systému NFSv4 client1.example.com naviguje
NFSv4 PseudoFS, dokud nedosáhne cesty exportu nejvyšší úrovně, /data/col1/mt1, kde získá přístup jen pro čtení.
Protože však byl vybrán export, export submount (Mt1-sub) není součástí PseudoFS pro klienta a
Není udělen přístup pro čtení a zápis.

Osvědčených
Pokud váš systém používá submounty exportů systému NFSv3 k tomu, aby klientovi poskytl přístup pro čtení i zápis na základě cesty připojení, je nutnétuto skutečnost zvážit
před použitím systému souborů NFSv4 s těmito exporty dílčích připojení.
U NFSv4 má každý klient individuální PseudoFS.

Tabulka NFSv3 submount exportů 
 

Konfigurace systému NFSv4

The default protection system configuration only enables NFSv3. To use NFSv4, you must first enable the NFSv4 server.
Enabling the NFSv4 Server
Steps
1. Enter nfs enable version 4 to enable NFSv4:
# nfs enable version 4
NFS server version(s) 3:4 enabled.
2. (Optional) If you want to disable NFSv3, enter nfs disable version 3.
NOTE: Do not disable NFSv3 on systems integrated with Avamar.
# nfs disable version 3
NFS server version(s) 3 disabled.
NFS server version(s) 4 enabled.
Next steps
After the NFSv4 server is enabled, you might need to perform additional NFS configuration tasks specifically for your site. These
tasks can include:
● Setting the NFSv4 domain
● Configuring NFSv4 ID mapping
● Configuring ACL (Access Control Lists)
Setting the default server to include NFSv4
About this task
The NFS command option default-server-version controls which NFS version is enabled when you enter the nfs
enable command without specifying a version.
Steps
Enter the nfs option set default-server-version 3:4 command:
# nfs option set default-server-version 3:4
NFS option 'default-server-version' set to '3:4'.

Aktualizace stávajících exportů

You can update existing exports to change the NFS version used by your protection system.
Steps
Enter the nfs export modify all command:
# nfs export modify all clients all options version=version number
To ensure all existing clients have either version 3, 4, or both, you can modify the NFS version to the appropriate string. The
following example shows NFS modified to include versions 3 and 4:
#nfs export modify all clients all options version=3:4
For more information about the nfs export command, see the DDOS Command Reference Guide for more information.

Kerberos a NFSv4
NFSv4 i NFSv3 používají k zabezpečení přihlašovacích údajů uživatele mechanismus ověřování Kerberos.
Protokol Kerberos zabraňuje zfalšování přihlašovacích údajů uživatele v paketech NFS a chrání je před manipulací na cestě do
ochranného systému.
Existují různé typy protokolu Kerberos přes NFS:
● Kerberos 5 (sec=krb5)
Pro přihlašovací údaje uživatele použijte Kerberos.
● Kerberos 5 s integritou (sec=krb5i)
Použijte Kerberos a zkontrolujte integritu datové části NFS pomocí šifrovaného kontrolního součtu.
● Kerberos 5 se zabezpečením (sec=krb5p)
Používejte Kerberos 5 s integritou a zašifrujte celou datovou část NFS.
POZNÁMKA: krb5i i krb5p mohou způsobit snížení výkonu kvůli dodatečné výpočetní režii na obou
Klient NFS a ochranný systém.
 

Konfigurace šifrování Kerberos pomocí KDC na bázi systému Linux
 

Prerequisites
You should ensure that all your systems can access the Key Distribution Center (KDC).
If the systems cannot reach the KDC, check the domain name system (DNS) settings.
About this task
The following steps allow you to create keytab files for the client and the protection system:
● In Steps 1-3, you create the keytab file for the protection system.
● In Steps 4-5, you create the keytab file for the client.
Steps
1. Create the nfs/<ddr_dns_name>@<realm> service principal.
kadmin.local: addprinc -randkey nfs/ddr12345.<domain-name>@<domain-name>
2. Export nfs/<ddr_dns_name>@<realm> to a keytab file.
kadmin.local: ktadd –k /tmp/ddr.keytab nfs/ddr12345.corp.com@CORP.COM
3. Copy the keytab file to the protection system at the following location:
/ddr/var/krb5.keytab
4. Create one of the following principals for the client and export that principal to the keytab file:
nfs/<client_dns_name>@<REALM>
root/<client_dns_name>@<REALM>
5. Copy the keytab file to the client at the following location:
/etc/krb5.keytab
NOTE: It is recommended that you use an NTP server to keep the time synchronized on all entities.

Konfigurace šifrování Kerberos pomocí KDC na bázi systému Linux
 

Configuring the protection System to Use Kerberos Authentication
Steps
1. Configure the KDC and Kerberos realm on the protection system by using the authentication command:
# authentication kerberos set realm <realm> kdc-type unix kdcs <kdc-server>
2. Import the keytab file:
# authentication kerberos keytab import
3. (Optional) Configure the NIS server by entering the following commands:
# authentication nis servers add <server>
# authentication nis domain set <domain-name>
# authentication nis enable
# filesys restart
4. (Optional) Make the nfs4-domain the same as the Kerberos realm using the nfs option command:
nfs option set nfs4-domain <kerberos-realm>
5. Add a client to an existing export by adding sec=krb5 to the nfs export add command:
nfs export add <export-name> clients * options version=4,sec=krb5

Konfigurace šifrování Kerberos pomocí KDC na bázi systému Linux
 

Configuring Clients
Steps
1. Configure the DNS server and verify that forward and reverse lookups are working.
2. Configure the KDC and Kerberos realm by editing the /etc/krb5.conf configuration file.
You might need to perform this step based on the client operating system you are using.
3. Configure NIS or another external name mapping service.
4. (Optional) Edit the /etc/idmapd.conf file to ensure it is the same as the Kerberos realm.
You might need to perform this step based on the client operating system you are using.
5. Verify the keytab file /etc/krb5.keytab contains an entry for the nfs/ service principal or the root/ principal.
[root@fc22 ~]# klist -k
Keytab name: FILE:/etc/krb5.keytab
KVNO Principal
---- --------------------------------------------------------------------------
3 nfs/fc22.domain-name@domain-name
6. Mount the export using the sec=krb5 option.
[root@fc22 ~]# mount ddr12345.<domain-name>:/data/col1/mtree1 /mnt/nfs4 –o
sec=krb5,vers=4

Povolení služby Active Directory
 

About this task
Configuring Active Directory authentication makes the protection system part of a Windows Active Directory realm. CIFS clients
and NFS clients use Kerberos authentication.
Steps
1. Join an active directory realm using the cifs set command:
# cifs set authentication active-directory <realm>
Kerberos is automatically set up on the system, and the required NFS/ service principal is automatically created on the KDC.
2. Configure NIS using the authentication nis command:
# authentication nis servers add <windows-ad-server>
# authentication nis domain set <ad-realm>
# authentication nis enable
3. Configure CIFS to use NSS for ID mapping by using cifs commands:
# cifs disable
# cifs option set idmap-type nss
# cifs enable
# filesys restart
4. Set the nfs4-domain to be the same as the Active Directory realm:
# nfs option set nfs4-domain 5. Enable Active Directory for NFSv4 id mapping by using the nfs command: # nfs option set nfs4-idmap-active-directory enabled

Konfigurace služby Active Directory
 

Steps
1. Install the Active Directory Domain Services (AD DS) role on the Windows server.
2. Install the Identity Management for UNIX components.
C:\Windows\system32>Dism.exe /online /enable-feature /featurename:adminui /all
C:\Windows\system32>Dism.exe /online /enable-feature /featurename:nis /all
3. Verify the NIS domain is configured on the server.
C:\Windows\system32>nisadmin
The following are the settings on localhost
Push Interval : 1 days
Logging Mode : Normal
NIS Domains
NIS Domain in AD Master server NIS Domain in UNIX
---------------- ------------- ----------------
corp win-ad-server corp
4. Assign AD users and groups UNIX UID/GIDs for the NFSv4 server.
a. Go to Server Manager > Tools > Active Directory.
b. Open the Properties for an AD user or group.
c. Under the UNIX Attributes tab, fill in the NIS domain, UID, and Primary GID fields.